Ibm00001.exe


(Ee181) #1

Witam wszystkich jestem nowy model z PROBLEMEM !!

Jak uruchamiam komputer to na pulpicie ukazuje mi sie taka informacja -

Files\Microsoft Shared\Web Folders\ibm00001.exe"; sprawdz czy nazwa jest poprawna

czy mozecie mi pomoc,bo nie wiem co mam zrobic...

nazwe juz zmienialem na ibm00001.exe..... a pozniej automatycznie zmienia sie na ibm.00001.exe

i jeszcze jedno ostatnio złapałem troszke wirusków i od tego czasu to sie dzieje,na dzien dzisiejszy nie mam wirusa skanowalem tylko MKS WIR tylko wyskakuje taka INFORMACJA !

czekam na jaka kolwiek pomoc i DZIEKUJE :lol:


(aju) #2

start==>uruchom==>msconfig

zakładka uruchamianie i odchaczasz

lub coś co może mieć twoim zdaniem związek z tym wpisem.


(Ee181) #3

zrobiłem odchaczyłem,ale bez poprawy :frowning:

nawet ten plik ibm00001.exe pozniej wywaliłem do kosza bo myslalem ze moze WIRUS tam siedzi, to po uruchomieniu był komunikat znów ze nie moze znalesc tego pliku...

i w koło macieju raz tak raz tak !!

a mam pytanie a jak bym go wywalił na AMEN i wsadził orginał płyte WIN. nie zainstaluje dziury na nowo???

i tak na szybkiego jaki polecacie mi scaner,bo korzystam tylko wylacznie z

http://bezpieczenstwo.onet.pl/ :slight_smile:


(boczi) #4

Daj log z Hijackthis!

http://www.hijackthis.prv.pl

Bo ten proces to syf.

Bez wsadzania płyty uporamy się z tym.


(Kuz5) #5

Pierwsza sprawa Piotrus123 to :

Wyczyść rejestr programem jv16 PowerTools

Opcje rejestru =>Klikamy "Czyszczenie rejestru" (opcja pokazana na na poniższym obrazku) następnie klikamy "Kontynuuj" po czym klikamy "Start" po tym jak program sprawdzi rejestr klikamy Wybierz => Wybór specjalny i klikamy "Pozycje które można bezpiecznie usunąć" i na koniec klikamy "Usuń"

jpt3kj.jpg

A druga sprawa, bardzo ważna to:


(Ee181) #6

no zaczynam rozmyslac czy nie bedzie łatwiej zrobic FORMAT :roll:wiem ze pierwsze kroki zawsze sa utrudnione :o

poniewaz ten problem maja moi znajomi pare domów dalej,a generalnie jestesmy raczej poczatkujacymi fachmanami :lol: a moj komp na szczescie jak narazie dobrze chodzi lecz od pół roku mam wirusa jednego i nie moge tez go usunac,jak sprobowałem recznie zrobic to po restarcie kompa na nowo wiruska nie bylo lecz nie moglem zadnej stronki otworzyc i pozostało mi wrocic system..... i od tamtej pory zostawiłem

DZIEKUJE za podpowiedz i bede powoli rozmyslał co dalej...

pozniej jak przeskanuje to zuce kopie gdzie mój mieszka od 6miesiecy :wink:

pozdrawiam


(boczi) #7

Nie format.

LOG z Hijacka. I powiemy, co dalej.


(Ee181) #8

no zapoznam sie z tym zaraz i sprobuje najpierw z miom wiruskiem jak sie uda :smiley: znajoma moja bedzie pozniej ale forum zapisane ma to bedzie czytac i zacznie tez prubowac :smiley:

wiec mój znajduje sie w nastepujacym miejscu ;

C:/WINDOWS/SYSTEM32/LSP.DLL

nazwa wirusa Adware.Sahat.F

Złączono Posta : 29.09.2005 (Czw) 15:42

Logfile of HijackThis v1.99.1

Scan saved at 15:40:14, on 2005-09-29

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\WANADOO\TaskbarIcon.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\Winamp\Winampa.exe

C:\PROGRA~1\WANADOO\Profil1\Zegarynka.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Documents and Settings\All Users\Dane aplikacji\Spontania4IM\spontania4IM.exe

C:\PROGRA~1\WANADOO\EspaceWanadoo.exe

C:\PROGRA~1\WANADOO\ComComp.exe

C:\PROGRA~1\WANADOO\Watch.exe

C:\Documents and Settings\All Users\Dane aplikacji\Spontania4IM\spontaniavideo.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Komputer\Pulpit\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\system32\SahAgent.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\Tlen.exe

O4 - HKCU\..\Run: [Zegarynka] C:\PROGRA~1\WANADOO\Profil1\Zegarynka.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Spontania Monitor.lnk = C:\Documents and Settings\All Users\Dane aplikacji\Spontania4IM\spontania4IM.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c282.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094830169480

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D7F3735E-0DFB-4FCB-B0E4-641164BF875B}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: NProtectService - Unknown owner - C:\WINDOWS\

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe

:o o co tutaj chodzi??? czy moze mi ktos to sprawdzic :wink:


(Gutek) #9

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

023 - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz NProtectService


(Ee181) #10

DZIEKI Gutek2222 za wszystko i piekna instrukcje,ale mam jeszcze LOG kolezanki tez zrobilismy :wink:

Ja mysle ze moze sobie z tym poradze,ale nie mowie HOP :wink: dam znac jak najszybciej,nawet jestem troszke zaskoczony ze tyle BRUDU mam ale cóz !!

takze prosze kogo kolwiek o sprawdzenie drugiego komputera sympatycznych DZIEWCZYN co mieszkaja kolo mnie :wink: bo u nich jest duzooo gorzej !!

Logfile of HijackThis v1.99.1

Scan saved at 19:29:46, on 2005-09-29

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rmctrl.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

D:\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 

http://195.95.218.172/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 

http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

www.interia.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 

http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

http://195.95.218.172/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4EFAD642-CD9B-4FD3-B842-A6B911D383EF}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F90B76A-39FA-4614-A51B-13C4309B7B45}: NameServer = 194.204.152.34,194.204.159.1

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Ps.DZIEKUJE i Pozdrowienia od Igi Kasi


(Kuz5) #11

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki na czerwono usun ręcznie z dysku

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.


(Gutek) #12

Piotrus123 użyj CWS.Systime Removal 3.5 zwalczy paytime.exe